GHOST: Una nueva vulnerabilidad en Linux

03-2015
GHOST: Una nueva vulnerabilidad en Linux
Nuevamente el mundo del código abierto ha sido golpeado por un problema de seguridad importante:
GHOST, un agujero de seguridad en la biblioteca glibc Linux. Gracias a un equipo de investigadores de
Redwood Shores, empresa de seguridad en California, se ha descubierto en la biblioteca GNU C -Linuxuna vulnerabilidad crítica que permite ejecutar código malicioso, de forma remota, en servidores. Dado
este grave fallo de seguridad, un atacante puede tomar el control de un computador con Sistema
Operativo Linux con facilidad.
Al fallo de seguridad que nos ocupa en estas líneas se le ha sido asignado el código CVE-2015-0235 y
es conocido como “Ghost”. Según los investigadores de Redwood Shores, este problema que afecta a
gran parte de las distribuciones Linux y alcanza la gravedad de Heartbleed (Boletín 02-2014).
Esta vulnerabilidad reside en el las funciones gethostbyname de la biblioteca glibc. Para los que no lo
saben, glibc es el nombre con el que se conocen a las librerías GNU de C con la que se compilan la
mayoría de los sistemas Linux y muchos programas de software libre. Específicamente las funciones
gethostbyname se utilizan para resolver los nombres de dominio en direcciones IP, y son ampliamente
utilizadas en aplicaciones de código abierto; Ghost afecta a las versiones glibc desde su versión glibc2.2, que fue lanzado de forma pública en el año 2000. El principal problema está en que también afecta a
Apache, Exim, Sendmail, Nginx, MySQL, TAZAS, Samba y muchos otros tipos de software diferentes
utilizados por los servidores de Internet. Por lo tanto, un atacante puede poner en riesgo la estabilidad de
un portal web, debido a que este fallo de seguridad le permite ejecutar líneas de código de forma remota,
sin conocer las credenciales de acceso del administrador, y sin que pueda detectarse un comportamiento
anómalo en el registro del servidor.
Afortunadamente, el riesgo real parece no ser tan grande debido a que el error fue corregido en mayo de
2013, lo que significa que cualquier servidor Linux o PC con las versiones más recientes del software
están a salvo de los ataques. Adicionalmente, las funciones gethostbyname fueron sustituidas por otras
más nuevas que pueden manejar mejor los entornos de red modernos, ya que incluyen soporte para
IPv6, entre otras novedades. Como resultado, las aplicaciones más nuevas a menudo ya no utilizan las
funciones gethostbyname y no están en riesgo.
Y quizás lo más importante, no hay actualmente alguna forma conocida de ejecutar ataques GHOST a
través de la Web. Esto reduce en gran medida las posibilidades de utilizar esta vulnerabilidad para robar
los datos de los usuarios desprevenidos o de causar estragos realmente serios.
@vencert
VenCERT Oficial
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]
03-2015
GHOST: Una nueva vulnerabilidad en Linux
¿Cómo saber si GHOST puede afectar tu servidor o PC Linux Debian, Ubuntu y Canaima?
Para verificar sólo hay que abrir un terminal e ingresar el siguiente comando:
Debería arrojar algo similar a esto:
Para estar a salvo, la versión de glibc debe ser superior a 2.17. En el ejemplo, la 2.13 está instalada.
Sólo hace falta ejecutar los siguientes comandos (o los equivalentes en tu distribución):
Para Canaima 4.1 debemos colocar en la lista de los repositorio /etc/apt/sources.list la siguiente línea:
http://ftp.fr.debian.org/debian/ testing main contrib non-free
Se actualizan los paquetes
Y luego se instala solamente el paquete libc6
En cualquiera de los dos (02) después de la actualización es necesario reiniciar la PC con el siguiente
comando:
Finalmente, hay que ejecutar ldd una vez más para comprobar la versión de gblic.
Nota: solo se realizó la comprobación de esta actualización del parche en Canaima 4.1
Fuentes: http://www.adslzone.net/2015/01/28/ghost-linux-seguridad-internet-hearbleed/
http://blog.desdelinux.net/ghost-otro-fallo-de-seguridad-golpea-a-linux/ .
@vencert
VenCERT Oficial
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]